Le futur cadre de transfert de données UE-USA déjà contesté
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
![Image [DMA :] la Commission européenne va enquêter sur Alphabet, Apple et Meta](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
![Image [Atos / Eviden :] Airbus jette (à nouveau) l’éponge](https://incyber.org//wp-content/uploads/2023/09/incyber-news-cybersecurity-money-bank-885x690.jpg)
Max Schrems s’est montré très critique avec le décret du président américain Joe Biden, qui doit servir de base au nouveau cadre de transfert transatlantique des données personnelles
Depuis l’invalidation du Privacy Shield, en juillet 2020, il n’existe plus aucun cadre légal de transfert transatlantique des données personnelles ; les politiques européennes et américaines en la matière étant divergentes.
Au printemps 2022, la Commission européenne s’est accordée avec la Maison-Blanche sur les bases d’un nouveau cadre : il doit notamment résoudre l’incompatibilité entre le RGPD européen et les lois américaines comme le Cloud Act. Ce dernier permet en effet aux autorités, sur décision de justice, d’accéder à toutes les données détenues par une entreprise américaine, y compris hors des États-Unis.
Ce 7 octobre 2022, le président américain Joe Biden a publié un décret exécutif qui « doit servir de base à la future décision d’adéquation prise par l’Union européenne » sur cette question.
Pour éviter une autre invalidation, le texte introduit deux nouveaux mécanismes. Le premier est une Cour d’examen de la protection des données, sous tutelle du ministère de la Justice américain, que les citoyens européens pourront saisir en cas de litige. Le second est un engagement à limiter l’accès aux données des Européens par les autorités américaines à ce qui est « nécessaire » et de manière « proportionnée », reprenant la sémantique utilisée par le RGPD.
Mais cela ne convainc absolument pas les défenseurs européens de la vie privée, en particulier l’activiste Max Schrems, à l’origine de l’invalidation du Privacy Shield : « l’Union européenne et les États-Unis sont désormais d’accord sur l’utilisation du mot ‘proportionné’ mais semblent en désaccord sur sa signification », tacle-t-il.
Pour lui, rien de nouveau sous le soleil : la loi américaine permettra toujours d’espionner les Européens. « À première vue, il semble que les questions essentielles n’ont pas été résolues et que le dossier reviendra tôt ou tard devant la CJUE », affirme-t-il.
Le Bureau européen des unions de consommateurs (BEUC) est sur la même longueur d’onde. « Même si les autorités américaines tentent de combler les lacunes du Privacy Shield initial, le fait est que l’UE et les États-Unis ont toujours une approche différente de la protection des données qui ne peut être gommée par un décret », affirme ainsi sa directrice générale adjointe, Ursula Pachl.